alle artikelen

Hoe vergroot je het bewustzijn rondom privacy op school?

Informatiebeveiliging is een samenspel tussen techniek, de organisatie en de mensen die er werken. Dit stelt Jochen den Ouden, IT Security Specialist en ethisch hacker. Toch ziet hij maar al te vaak in organisaties en scholen waar hij trainingen geeft, dat medewerkers niet staan te springen om met dit onderwerp aan de slag te gaan. Dus: hoe krijg je ook hen mee in dit verhaal?

Al vanaf zijn studie Informatica en later ook in zijn werk als systeem- en netwerkbeheerder en programmeur had één thema de onverdeelde interesse van Jochen: hoe zet je een systeem zo veilig mogelijk in? Daarom besloot hij voor zichzelf te beginnen als IT Security Specialist. “Ik heb een voorliefde voor het vinden van de discrepantie tussen hoe iets op papier staat en hoe het er in de praktijk aan toegaat. De AVG is wat dat betreft een zeer interessante kwestie.”

Het kan de beste overkomen 

In de praktijk wordt volgens Jochen nog lang niet alles gedaan om privacygevoelige gegevens te beschermen. Maar waarom eigenlijk niet? “De AVG vraagt om een volledig nieuwe werkwijze, waarbij velen denken: maar het werkt toch al jaren prima zo? Vaak weten medewerkers niet welke veiligheidsrisico’s het vasthouden aan oude methoden met zich meebrengt. Tijdens een van mijn workshops hoorde ik een leerkracht zelfs zeggen: ‘Maar leerlinggegevens zijn nou toch ook weer niet zó belangrijk?’”

De praktijk bewijst het tegendeel: leerlinggegevens zijn een gewillig mikpunt voor hackers. Zo bewijzen ook de cyberaanvallen op de Universiteit Maastricht en, nog recenter, de Universiteit van Amsterdam en de Hogeschool van Amsterdam. “Toch denkt bijna elke organisatie: mij overkomt het niet. Die gedachte is nergens op gestoeld. In de media hebben ze het misschien vooral over universiteiten en hogescholen, maar op basisscholen gebeurt het net zo goed.”

Techniek, organisatie én mensen 

Als ethisch hacker weet Jochen maar al te goed dat het voor een hacker soms kinderspel kan zijn om bij leerlinggegevens te komen. “Om dat horrorscenario te vermijden, is een samenspel tussen techniek, organisatie én mensen vereist. Informatiebeveiliging is echt niet alleen de verantwoordelijkheid van de ICT-afdeling”, stelt Jochen. Ter illustratie vertelt hij over de USB-stick die veel scholen nog gretig gebruiken. “Het allerbest is om het technisch onmogelijk te maken om een USB te gebruiken. Als dat geen optie is, kan de organisatie het verbieden om ze te gebruiken. Maar dan is het alsnog aan de leerkrachten om dat stukje gedragsverandering ook echt uit te voeren.”

Gedeeld bewustzijn creëren In de informatiebeveiligingsdriehoek tussen techniek, organisatie en mens, gaat het vooral bij die laatste groep wel eens mis. “Als een informatiebeveiligingssysteem faalt, gaat het in bijna zeventig procent van de gevallen mis bij de gebruiker, die bijvoorbeeld toch op die ene link in een mail klikt”, stelt Jochen. Het is dus belangrijk om je medewerkers mee te krijgen in de vraagstukken rondom privacy. Maar hoe doe je dat?

Privacy begint bij bewustwording. “Om het belang van privacy voelbaar te maken, moet je vooral veel voorbeelden geven die dicht bij de toehoorder staan. Een leerkracht kan bijvoorbeeld denken dat het niet erg is als de cijferlijsten van zijn leerlingen per ongeluk publiekelijk worden. Maar wat als hetzelfde zou gebeuren met zijn of haar loonstrook? Zou dat wél vervelend zijn? Privacy gaat namelijk net zo goed over de gegevens van de kwetsbare groep leerlingen als hun leerkrachten en de gehele organisatie.”

Bespreken en alternatieven geven 

De volgende stap is om met alle medewerkers in gesprek te gaan. “Ga gezamenlijk op zoek naar de pijnpunten. Iedereen kan wel iets benoemen dat qua privacy nog niet goed geregeld is. Praat ook met elkaar over welke gevoelige informatie jullie als school verzamelen en wat daarvan echt noodzakelijk is om op te slaan. Alles wat je niet opslaat, kun je ook niet kwijtraken. Denk daarbij ook aan verouderde bestanden en back-ups.” Vervolgens kun je gezamenlijk alternatieven bedenken voor de verschillende pijnpunten. “Begin met iets simpels als het sluiten en versleutelen van de kastdeuren. Of digitaal: het vergrendelen van de computer bij het verlaten van de klas.” Bespreek gelijk wat leerkrachten ervan kan weerhouden om bepaalde oplossingen uit te voeren. “Ze weten bijvoorbeeld niet hoe ze hun computer moeten vergrendelen en denken dat dit heel moeilijk is. Terwijl je in werkelijkheid enkel de Windows-toets en ‘L’ indrukt. Samen kom je er altijd uit.”

Zorg daarom ook dat het gevoel heerst dat alles bespreekbaar is. “Ik zie te vaak dat er een onveilige situatie op scholen ontstaat, omdat leerkrachten niet over bepaalde issues durven te praten. Daarom blijven ze met veel vragen rondlopen. Zorg voor een open sfeer waarin eerlijkheid wordt beloond.” Tot slot geeft Jochen de tip om alle informatie rondom privacy overzichtelijk te maken. “Dan kunnen leerkrachten in één oogopslag zien welke informatie ze mogen opvragen, hoe ze in een bepaalde situatie moeten handelen en bij wie ze terecht kunnen met hun vragen.”

Top 10 privacy tips 

  1. Wees zorgvuldig met je mail. Weet naar wie je een mail met persoonsgegevens kunt sturen. Gaat het mis? Maak daar dan melding van. 
  2. Pas extra goed op met vreemde mailtjes. Grote kans dat het phishing mails zijn. Stuur nooit een wachtwoord door, ga niet in op vreemde vragen om persoonsgegevens en deel geen bankgegevens via mail. 
  3. Check de bijlage in je mail. Persoonsgegevens mailen? Dan via een beveiligde link of met een code. 
  4. BCC en CC. Stuur je mails aan ouders? Doe dat bij voorkeur via een portal van school. Kan dat niet? Let dan op dat je de BCC gebruikt. 
  5. Meld een verloren USB-stick met persoonsgegevens. Hetzelfde geldt voor een verloren laptop, tablet of telefoon. 
  6. Berg je documenten netjes op. Dat geldt voor je digitale documenten, maar ook zeker voor papieren documenten. Doe die het liefst in een kast die je op slot kunt doen.
  7. Weet wie je wel en niet mag fotograferen. Zomaar een foto delen op social media van kinderen in de klas mag niet. Daarvoor is toestemming nodig. Vraag dat aan de ouders en leg dit vast. 
  8. Wat kun je eigenlijk allemaal inzien? En je collega’s? Mogen zij alle gegevens van alle kinderen in de klas inzien? Vaak mag dit niet zomaar, maar kan dit wel. Je ICT’er kan je helpen dit veilig te maken. Privacy by default heet dat. 
  9. Zet er een slot op. Een telefoon zonder code is best wel een beetje raar. Dat doet eigenlijk niemand. Maar denk ook aan je laptop. Gebruik je ‘m niet? Blokkeer dan de toegang. 
  10. Kwaadwillende hackers zijn gek op persoonsgegevens. Ook van kinderen en je collega’s. Let er dus op hoe je iets deelt, met wie je dat doet en wanneer.